مقابله با آلارم Gumblar Attack

Gumblar Attack در اصل ترکیبی از اسکریپت های سوء استفاده و بدافزارهایی است که به طور جمعی برای آلوده شدن و گسترش کار می کنند. نام Gumblar به این حمله داده شد زیرا اولین سری بدافزارها از نام دامنه چینی gumblar.cn بارگیری شد که روی سروری مستقر در انگلستان قرار داشت. سپس مهاجم به نام دامنه دیگری martuz.cn نقل مکان کرد و حملات مخرب را از آنجا آغاز کرد. به در حال حاضر چندین دامنه میزبان این بدافزار هستند – حدود ۱۵۰۰و بیشتر ، که بسیاری از آنها خود قربانیان بی گناهی هستند.

Gumblar نوعی حمله تزریق کد است که در آن هکر کدهای مخرب را در پرونده های وب سایت قربانی معرفی می کند. این حمله زمانی اتفاق می افتد که رایانه مالک یا مدیر وب سایت به خطر افتاده و پس از دسترسی به اطلاعات ورود به سیستم ftp ، برای بارگذاری محتوای مخرب در سرور میزبانی وب سایت خود استفاده می شود. کد مخرب در فایل های html ، PHP و Javascript روی سرور وب جاسازی شده است. بنابراین ، هر کسی که از وب سایت بازدید می کند در معرض خطر حمله قرار می گیرد.

چرا تشخیص و حذف Gumblar Attack دشوار است؟

مکانیزم پنهان کاری منحصر به فرد Gumblar Attack این است که اسکریپت مخربی که در صفحات وب جاسازی شده است مبهم است. مبهم سازی تشخیص و تجزیه و تحلیل بدافزار را برای ابزارهای امنیتی یا برنامه های ضد ویروس دشوار می کند. علاوه بر این ، مهاجم جاوا اسکریپت مبهم را به صورت پویا ایجاد می کند ، بنابراین یک اسکریپت متفاوت در هر صفحه آلوده وب سایت قربانی جاسازی می کند.

اسکریپت نه تنها از سایتی به سایت دیگر متفاوت است بلکه از صفحه ای به صفحه دیگر در همان سایت نیز متفاوت است ، اگرچه همه آنها نتیجه یکسانی را ارائه می دهند. از آنجایی که هر اسکریپت جاسازی شده متفاوت است ، برای نرم افزارهای ضد بدافزار دشوار است.

شاید برای شما نیز اتفاق افتاده باشد،چند خط کد بدون اطلاع شما به صفحات وب سایتتان اضافه شده، و سیستم کاربران را در حین بازدید سایت شما آلوده میکند. این روش را Gumblar Attack میخوانند.
امروزه وب سایتهای زیادی وجود داشته، که هدف Gumblar attack قرار گرفتند. ما بررسی‌هایی را بر روی این روش از نفوذ انجام داده‌ایم، در اینجا به نتایج آن اشاره خواهد شد:

تحقیقات نشان دهنده‌ی این است که این نوع از نفود هیچ ارتباطی با امنیت و آسیب پذیری در سرورها ندارد. در این نوع نفوذ اطلاعات مربوط به اکانتهای FTP از روی سیستم‌های افراد سرقت شده و به آدرس دلخواهِ نفوذگر ارسال میشوند. از این اطلاعات برای ورود و تغییر در وب سایتها توسط نفوذگر استفاده میشود. در حال حاضر هزاران وب سایت بصورت روزانه توسط این روش مورد نفوذ قرار میگیرند.

برای پاک سازی وب سایت خود از این نوع نفوذ و جلوگیری از نفوذهای دوباره موارد زیر پیشنهاد میشود:

۱- ویندوز خود را بروزرسانی نمایید.

۲- یک نرم افزار ضد ویروس نصب کنید. در حال حاضر ضد ویروسهای رایگان مانند AVG، Antivir و Malwarebyte وجود دارند که براحتی میتوانید آنها را دانلود و نصب نمایید.

۳- پس از اطمینان از پاک بودن سیستم خود،تمام رمزهای FTP خود را تغییر دهید.

۴- از ذخیره کردن رمزهای FTP در نرم افزارهای اتصال به FTP مانند CuteFTP و WSFTP خودداری نمایید. شما میتوانید از نرم افزارهایی مانند keepass برای ذخیره رمزها بصورت کد شده استفاده کنید.

۵- استفاده از روشهای آنلاین و برپایه‌ی وب برای اتصال به FTP نیز مفید میباشد. مانند وب سایت net2ftp.com

پس از انجام مراحل گفته شده در بالا،وب سایت شما پاکسازی شده است ولی شما همچنان صفحه‌ی Reported Attack Page را مشاهده می‌نمایید، برای حذف این صفحه در http://google.com/webmastertools عضو شوید و وب سایت خود را در گوگل وب مستر اضافه نمایید. پس از اضافه شدن وب سایت بین ۷ تا ۲۱ روز گوگل وب سایت شما را دوباره بازخوانی خواهد نمود و مشکل شما بصورت کامل رفع خواهد شد.